本帖最后由 贾兴建 于 2023-12-26 21:38 编辑
防火墙透明模式案例 1.防火墙模式介绍深信服的NGAF主要提供了五种接入方式,分别路由模式、透明模式、混合模式、虚拟网线、旁路模式 透明模式:所有业务口都二层透明口,分为access和trunk属性。 虚拟网线模式:所有业务口都是虚拟网线口,直接对数据进行转发或者拦截,可以理解成一根网线的二端。 路由模式:所有业务口都是三层路由口,必须配置IP地址通过路由转发数据。 混合模式:所有业务口中既有二层透明口也有三层路由口 旁路模式:旁路模式部署下接口都是镜像口,需要配合交换机做镜像配置使用 2.背景客户购买一台防火墙,需要对业务区域对流量进行保护,限制不必要的端口访问,要求对网络无太大改动,本次采用透明模式接入 3. 拓扑图
4. 设备配置步骤1. 防火墙eth0口默认地址为10.251.251.251/24,电脑配置同网段地址,直连防火墙ETH0口,登录方式为https://10.251.251.251,默认账号密码:admin/admin 2. 在系统--授权管理中复制设备网关ID,通过云图激活设备(此处省略) 3. 配置管理口,透明模式为二层,既可以写桥地址,也可以带外管理,带外管理:任意选择一个网口,配置管理地址,此处选择ETH1口 4.写桥地址:在vlan接口处创建对应vlan并写入管理地址 5.创建下行(LAN)接口,接在客户服务器区前,由于客户服务器区不止一个网段,所以需要放通客户地址网段,模式选择为透明,接口类型为trunk,放通客户业务vlan 6.配置上行(WAN)接口,模式为透明,注意要勾选WAN口属性,接口类型trunk,放通业务vlan 7.配置管理口默认路由,此处路由仅限于客户远程管控和AF上网更新规则库 8.配置应用控制策略,根据客户需求放通或禁用对应地址与端口(选择源区域、源地址,目的区域、目的地址对应服务、端口;谁访问谁就是源) 9.配置安全防护策略,分别为用户防护策略以及业务防护策略,用户防护策略是针对用户上网时的防护,区域为LAN-WAN,源为内网用户组,业务防护策略是针对外部访问服务器业务时的防护,区域为WAN-LAN,源为WAN区域用户,(需要注意:所有防护动作一定要选择拒绝,如客户有DNS服务器一定要填,没有就选否) 10.防火墙透明模式基础配置完成 |